Falla in ImageMagick: migliaia di siti a rischio sicurezza

Un software usato da migliaia di siti Internet per gestire il caricamento delle immagini ha delle vulnerabilità che permettono agli hacker di prendere il controllo totale dei server.

Avatar di Giancarlo Calzetta

a cura di Giancarlo Calzetta

-

Il popolare software integrato nei siti Web che consentono il caricamento di immagini sarebbe un vero colabrodo. Sul Web circola già il codice che permetterebbe ai cyber-criminali di sfruttare le falle di sicurezza per compromettere i server.

L’allarme è stato lanciato dall’analista di Slack security Ryan Huber e riguarda ImageMagick, uno strumento software utilizzato da un gran numero di siti Internet per consentire agli utenti l’elaborazione e l’upload di immagini.

Nel sito dedicato, chiamato ironicamente “ImageTragick”, Huber spiega tutti i dettagli delle vulnerabilità individuate nel software, che consentirebbero a un pirata informatico di avviare l’esecuzione di codice in remoto utilizzando una semplice immagine realizzata ad hoc.

logo medium
ImageMagick è usato da migliaia di siti Web. Il bug è un potenziale disastro.

Il problema, in pratica, è legato al fatto che ImageMagick supporta formati come MVG e SVG, derivati da XML. Proprio l’utilizzo del metalinguaggio XML consente a un programmatore di realizzare immagini che sfruttano le vulnerabilità del software per collegare qualsiasi file esterno a un’immagine MVG o SVG, offrendo la possibilità di avviare l’esecuzione di codice in remoto.

A peggiorare le cose, inoltre, c’è il fatto che il software è pensato per individuare la tipologia dei file in base al loro contenuto e non in base all’estensione.

Il risultato è che gli amministratori non possono arginare gli attacchi utilizzando un filtro basato sulle estensioni. La vulnerabilità, infatti, può essere sfruttata anche caricando un file rinominato con un’estensione teoricamente “innocua” come JPEG o PNG.

Le vulnerabilità individuate fino a ora sono 5 e consentirebbero, oltre all’esecuzione di codice in remoto, di scaricare file via HTTP e FTP; cancellare o spostare file all’interno del server e anche copiarne il contenuto.

La vera sfida, ora, è fare in modo che gli amministratori dei siti Web che utilizzano ImageMagick mettano in atto tutte le misure per ridurre il rischio di un attacco. Tra queste, la creazione di un file di policy che blocchi alcune delle funzioni “a rischio”.

policy
La creazione di una policy specifica può mitigare i rischi delle vulnerabilità

Gli sviluppatori di ImageMagick (avvisati prima che la notizia fosse resa pubblica) hanno cercato di correre immediatamente ai ripari realizzando un aggiornamento che corregge alcune delle vulnerabilità, ma secondo Ryan Huber alcune delle falle individuate sarebbero ancora da chiudere.